信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2021/11/2）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2021/11/2

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2021/11/2）

閱讀下列說明和代碼，回答問題1和問題2，將解答卸載答題紙的對(duì)應(yīng)欄內(nèi)。
【說明】
某一本地口令驗(yàn)證函數(shù)（C語言環(huán)境，X86_32指令集）包含如下關(guān)鍵代碼：某用戶的口令保存在字符數(shù)組origPassword中，用戶輸入的口令保存在字符數(shù)組userPassword中，如果兩個(gè)數(shù)組中的內(nèi)容相同則允許進(jìn)入系統(tǒng)。

【問題1】（4分）
用戶在調(diào)用gets()函數(shù)時(shí)輸入什么樣式的字符串，可以在不知道原始口令“Secret”的情況下繞過該口令驗(yàn)證函數(shù)的限制？
【問題2】（4分）
上述代碼存在什么類型的安全隱患？請給出消除該安全隱患的思路。

信管網(wǎng)cnitpm430965388779：
1、前12個(gè)字符，和后門12個(gè)字符一樣，中間用于過度填充，如格式 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 2、緩沖區(qū)溢出，輸入?yún)?shù)校驗(yàn)長度和字符類型

信管網(wǎng)cnitpm457339504572：
六位字符串 溢出漏洞 上述代碼的userpasswordi一共開辟了12個(gè)空間，若gets（）輸入長度大于12的字符串，將會(huì)出現(xiàn)溢出 將userpasssword由固定的靜態(tài)分配空間改為動(dòng)態(tài)分配空間

信管網(wǎng)安全最重要吧：
問題一：輸入24個(gè)字符串長度的值，前12個(gè)字符串跟后12個(gè)字符串一樣。比如123456789456123456789456＜br＞問題二：內(nèi)存溢出＜br＞通過獲取userpassword的值時(shí)需要限制輸入的字符串的長度為12個(gè)字符

信管網(wǎng)cnitpm50331607771：
1、密碼是12字節(jié)的字符串 如果輸入24位字符串 使得前12個(gè)字符和后12個(gè)字符一樣，就可以跳過 2，緩沖區(qū)溢出的安全隱患，以上程序必須保證輸入字符的長度小于等于12個(gè)字符，如果超過12個(gè)字符就會(huì)發(fā)生緩沖區(qū)溢出 使用安全函數(shù)來代替gets（）,對(duì)用戶輸入的字符串進(jìn)行檢查和校對(duì)，不可以超過12個(gè)字符，還可以使用if語句判斷輸入是否越界。